Docker container update tipp

Tobias · 28. Januar 2019 um 09:09

Hi zusammen,

ich bin ja auch ziemlich unbedarft in der container-geschichte.
Ab und zu muss man wg. verschiedenster Sicherhietslücken (apt, mysql, php) auch mal die docker-container updaten - dachte ich.
Als ich es mit “collabora/code” tat, war das beim ersten Mal super - die Basis scheint jetzt ein 6.0 libreoffice zu sein. Gestern habe ich es nochmal versucht upzudaten und jetzt tat der Container nicht mehr was er sollte (irgendwie SSL-Fehler im log).

Jetzt geht es mir gar nicht ums debuggen oder die Frage, ob und wann man container updaten muss. Sondern darum, wie ich mit upgrades umgehe.

Ich habe für mich jetzt folgendes gemacht:
ich tagge die images, die ich verwenden will mit “:working”, also z.B.

docker tag 896b770bb440 collabora/code:working

und starte in meiner “docker-compose.xml” das “:working” image, dann sieht ein docker images bei mir so aus:

REPOSITORY                               TAG                 IMAGE ID            CREATED             SIZE
python                                   3-slim              0769b568426a        2 days ago          143MB
hgkvplan/linuxmuster-vplan               2.01                35fdb27ac414        2 days ago          303MB
hgkvplan/linuxmuster-vplan               latest              35fdb27ac414        2 days ago          303MB
collabora/code                           latest              2f454ff26962        3 days ago          1.56GB
jrcs/letsencrypt-nginx-proxy-companion   latest              c79a3bc1675a        4 days ago          85.8MB
nginx                                    stable              047429a05f4c        5 days ago          109MB
hgkvplan/linuxmuster-vplan               1.9                 fb69da404ec7        3 weeks ago         302MB
python                                   <none>              f9c1866f07ea        4 weeks ago         143MB
nginx                                    <none>              3f55d5bb33f3        4 weeks ago         109MB
jrcs/letsencrypt-nginx-proxy-companion   <none>              274e964f3005        4 weeks ago         85.5MB
collabora/code                           working             896b770bb440        5 weeks ago         1.56GB
portainer/portainer                      latest              a01958db7424        6 weeks ago         72.2MB
jwilder/nginx-proxy                      latest              1e3c23efda58        2 months ago        148MB

(zur erläuterung: alle ohne Tag (<none>) kann ich z.B. jetzt löschen.
Ähnlich kann ich auch alle, die ich jetzt verwende mit “:working” taggen, bisher hab ich das nur mit collabora gemacht. “python/3-slim” ist so basic, dass ich das nicht taggen werde, weil das wohl immer funktionieren sollte.")

Dann kann ich beim upgrade eines containers schauen, ob “:latest” noch funktioniert und falls nicht, bleibt das alte Image halt “:working”. Falls doch, bekommt das neue Image “:working”.

Habt ihr eine bessere Strategie?

VG, Tobias

Tobias · 28. Januar 2019 um 09:18

Ein Problem mit dieser Strategie: “:working” ist kein Tag, den es upstream, d.h. auf dockerhub gibt, d.h. wenn ich im Verzeichnis “docker-compose pull” mache, werden natürlich dann keine neuesten Images mehr gezogen.

Aber das ist evtl. ein anderes Thema: “Wie bleibe ich bei den Images auf dem neuesten Stand, d.h. erfahre von updates und lade sie automatisiert runter?”

zefanja · 28. Januar 2019 um 11:07

LXD